Le password dei proprietari di auto con perdite di Tesla
Dove devi andare se vuoi mettere le mani sui dati personali di altre persone? Bene, la rete oscura ospita una serie di mercati in cui i criminali informatici vendono informazioni sulle persone e credenziali di accesso. Se conosci i motori di ricerca specializzati come Shodan, puoi anche trovare server pieni di milioni di record che non sono protetti da una password. A quanto pare, puoi trovare dati privati e password nei vecchi sistemi di infotainment Tesla venduti anche su eBay.
Table of Contents
Un ricercatore di sicurezza trova vecchi computer Tesla che contengono tonnellate di informazioni private
Ricercatore di sicurezza e proprietario di Tesla noto per la sua maniglia Twitter, @greentheonly si chiedeva quali fossero i meccanismi interni dei sistemi di infotainment montati su auto costruite dal produttore di veicoli elettrici preferito al mondo. Forse non sorprende, ha deciso di non sbirciare attraverso il computer della propria auto e invece ha optato per l'acquisto di una manciata di unità di seconda mano da eBay. I dispositivi erano relativamente economici e uno dei moduli era addirittura danneggiato, il che lo rendeva particolarmente economico. I dati in essi memorizzati, tuttavia, erano piuttosto preziosi.
Tutti i sistemi di infotainment contengono una miriade di dati privati che appartengono ai precedenti proprietari. Ciò include posizioni di casa e di lavoro, password Wi-Fi, elenchi di chiamate, rubriche e calendari sincronizzati da telefoni cellulari associati e cookie di sessione per vari servizi online. Questi cookie di sessione avrebbero permesso a Green di dirottare gli account Netflix e Gmail delle persone, e avrebbe avuto un tempo ancora più semplice alterando le loro playlist Spotify perché le password per il servizio di streaming musicale erano memorizzate in chiaro all'interno dei sistemi di infotainment.
Per fortuna, non aveva intenzione di violare la privacy online degli estranei, motivo per cui ha condiviso le sue scoperte con InsideEVs.com e alla fine è riuscito a raggiungere i precedenti proprietari di quattro dei suoi dispositivi provenienti da eBay. Le loro storie dimostrano che la perdita è avvenuta non solo a causa di discutibili decisioni di progettazione riguardanti la sicurezza delle unità.
Le unità non avrebbero dovuto apparire su eBay
I proprietari precedenti non possono essere incolpati della perdita in alcun modo. Non strapparono le unità dalle macchine stesse. Invece, hanno partecipato a un programma organizzato da Tesla in cui il produttore di veicoli elettrici aggiorna i computer più recenti e migliorati ad alcune delle auto più vecchie. Tutto ha a che fare con la risoluzione dei problemi di prestazioni con i vecchi sistemi che non possono essere risolti con un aggiornamento over-the-air e Tesla sta facendo il retrofit gratuitamente.
Una transizione senza interruzioni significa trasferire i dati personali del proprietario dell'auto dal vecchio computer a quello nuovo. Per qualsiasi motivo, tuttavia, Tesla non permetterà ai proprietari di recuperare i loro vecchi dispositivi. Invece, mantiene le unità e, secondo le fonti di InsideEVs.com, la politica nei centri di assistenza Tesla impone che i tecnici debbano danneggiare i computer obsoleti prima di gettarli via.
Il fatto che Green abbia acquistato almeno tre unità in ottime condizioni da eBay dimostra che questa politica non è seguita da vicino. Il fatto che uno danneggiato abbia ancora trapelato i dati del precedente proprietario dimostra che la politica non funziona affatto.
Tesla affonda la testa nella sabbia
Com'era prevedibile, i proprietari InsideEVs.com e Green con cui hanno parlato erano piuttosto sconvolti, ma sembra che Tesla non sia troppo entusiasta di fare qualcosa per calmarli. Prima di contattare InsideEVs.com, Green ha cercato di contattare lo stesso Tesla, ma la compagnia di Elon Musk lo ha ignorato. Il produttore ha risposto a InsideEVs.com e ha promesso che avrebbe contattato almeno uno dei quattro proprietari i cui dati sono stati trovati da Green. Una settimana dopo, tuttavia, la proprietaria stessa disse di non aver sentito una parola da Tesla.
InsideEVs.com ha anche posto alcune domande su chi è responsabile di questa grave violazione della privacy e sui meccanismi di archiviazione dei dati del dispositivo. Tesla scelse di ignorarli.
Le auto moderne si sono trasformate in molto più di un semplice modo per passare dalla A alla B. Allo stesso modo, le case automobilistiche moderne non sono solo società redditizie la cui unica responsabilità è quella di mantenere felici gli azionisti. Piaccia o no, ora sono incaricati, tra l'altro, di proteggere i nostri dati, ed è chiaro che in questo caso particolare Tesla non è riuscita a farlo in modo piuttosto spettacolare.
